Documentation produit
Citrix DaaS
Voir PDF

Connexion à Microsoft Azure

March 30, 2024
Contributeur: 
C

La section Créer et gérer des connexions et des ressources décrit les assistants qui créent une connexion. Les informations suivantes couvrent les détails spécifiques aux environnements de cloud Azure Resource Manager.

Remarque :

Avant de créer une connexion à Microsoft Azure, vous devez terminer la configuration de votre compte Azure en tant qu’emplacement de ressources. Consultez la page Environnements de virtualisation Microsoft Azure Resource Manager.

Créer des principaux de service et des connexions

Avant de créer des connexions, vous devez configurer les principaux de service que les connexions utilisent pour accéder aux ressources Azure. Vous pouvez créer une connexion de deux manières :

  • Créer ensemble un principal de service et une connexion à l’aide de Configuration complète
  • Créer une connexion à l’aide d’un principal de service créé précédemment

Cette section explique comment effectuer les tâches suivantes :

Considérations

Avant de commencer, tenez compte des points suivants :

  • Citrix recommande d’utiliser les principaux de service avec un rôle Contributeur. Consultez toutefois la section Autorisations minimales pour obtenir la liste des autorisations minimales.
  • Lorsque vous créez la première connexion, Azure vous invite à leur accorder les autorisations nécessaires. Vous devrez toujours vous authentifier pour les futures connexions, mais Azure mémorise votre accord préalable et n’affiche plus l’invite.
  • Les comptes utilisés pour l’authentification doivent être des co-administrateurs de l’abonnement.
  • Le compte utilisé pour l’authentification doit être un membre du répertoire de l’abonnement. Il existe deux types de comptes : « Professionnel ou école » et « compte Microsoft personnel ». Voir CTX219211 pour plus de détails.

  • Bien que vous puissiez utiliser un compte Microsoft existant en l’ajoutant en tant que membre du répertoire de l’abonnement, cela peut entraîner des complications si un accès invité à l’une des ressources du répertoire a précédemment été accordé à l’utilisateur. Dans ce cas, le répertoire peut contenir une entrée fictive qui ne lui accorde pas les autorisations nécessaires, et une erreur est renvoyée.

    Corrigez cela en supprimant les ressources du répertoire et en les rajoutant explicitement. Soyez toutefois prudent, car cela a des effets indésirables sur d’autres ressources auxquelles ce compte peut accéder.

  • Il existe un problème connu dans lequel certains comptes sont détectés en tant qu’invités du répertoire alors qu’ils en sont membres. Des configurations comme celle-ci se produisent généralement avec d’anciens comptes de répertoire établis. Solution : ajoutez un compte au répertoire, qui prend la valeur d’appartenance appropriée.
  • Les groupes de ressources sont des conteneurs de ressources qui peuvent contenir des ressources provenant de régions autres que leur propre région. Cela peut porter à confusion si vous vous attendez à ce que les ressources affichées dans la région d’un groupe de ressources soient disponibles.
  • Assurez-vous que votre réseau et sous-réseau sont suffisamment grands pour héberger le nombre de machines dont vous avez besoin. Cela nécessite une démarche prospective, mais Microsoft vous permet de spécifier les valeurs correctes, en fournissant des conseils sur la capacité de l’espace d’adressage.

Créer un principal de service et une connexion à l’aide Configuration complète

Important :

Cette fonctionnalité n’est pas encore disponible pour les abonnements Azure Chine.

Avec Configuration complète, vous pouvez créer à la fois un principal de service et une connexion dans un seul flux de travail. Les principaux de service permettent aux connexions d’accéder aux ressources Azure. Lorsque vous vous authentifiez auprès d’Azure pour créer un principal de service, une application est enregistrée dans Azure. Une clé secrète (appelée clé secrète client ou secret d’application) est créée pour l’application enregistrée. L’application enregistrée (une connexion dans ce cas) utilise la clé secrète client pour s’authentifier auprès d’Azure AD.

Avant de commencer, assurez-vous de remplir les conditions préalables suivantes :

  • Vous disposez d’un compte utilisateur dans le locataire Azure Active Directory de votre abonnement.
  • Le compte d’utilisateur Azure AD est également un co-administrateur pour l’abonnement Azure que vous utiliserez pour les ressources de provisioning.
  • Vous disposez d’autorisations d’administrateur global, d’administrateur d’application ou de développeur d’applications pour l’authentification. Les autorisations peuvent être révoquées après la création d’une connexion hôte. Pour plus d’informations sur les rôles, consultez la section Rôles intégrés d’Azure AD.

Utilisez l’assistant Ajouter une connexion et des ressources pour créer simultanément un principal de service et une connexion :

  1. Sur la page Connexion, sélectionnez Créer une connexion, le type de connexion Microsoft Azure et votre environnement Azure.

  2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis cliquez sur Suivant.

  3. Sur la page Détails de la connexion, créez un principal de service et définissez le nom de la connexion comme suit :

    1. Pour accorder à la connexion l’autorisation de nettoyer automatiquement les appareils joints à Azure AD obsolètes, sélectionnez Activer la gestion des appareils joints à Azure AD. Nous vous recommandons de sélectionner cette option si vous souhaitez créer des machines jointes à Azure AD via cette connexion. Pour plus d’informations, consultez Activer la gestion des appareils joints à Azure AD.

    2. Entrez votre ID d’abonnement Azure et un nom pour la connexion. Lorsque vous entrez l’ID d’abonnement, le bouton Créer nouveau est activé.

    Remarque :

    Le nom de la connexion peut contenir entre 1 et 64 caractères, et ne peut pas contenir uniquement des espaces ou les caractères \/;:#.*?=<>|[]{}"'()'.

    1. Sélectionnez Créer, puis entrez le nom d’utilisateur et le mot de passe du compte Azure Active Directory.

    2. Sélectionnez Se connecter.

    3. Sélectionnez Accepter pour accorder à Citrix DaaS les autorisations indiquées. Azure crée un principal de service qui permet à Citrix DaaS de gérer les ressources Azure pour le compte de l’utilisateur spécifié.

    4. Une fois que vous avez sélectionné Accepter, vous êtes redirigé vers la page Détails de la connexion.

      Remarque :

      Une fois que vous vous êtes authentifié auprès d’Azure, les boutons Créer et Utiliser existant disparaissent. La mention Connexion établie accompagnée d’une coche verte indique que la connexion à votre abonnement Azure a réussi.

    5. Pour acheminer les requêtes d’API vers Azure via des composants Citrix Cloud Connector, cochez la case Acheminer le trafic via des Citrix Cloud Connector.

      Vous pouvez également activer cette fonctionnalité à l’aide de PowerShell. Pour plus d’informations, consultez la section Créer un environnement sécurisé pour le trafic géré par Azure.

      Remarque :

      Cette option n’est disponible que lorsque des Citrix Cloud Connector sont actifs dans votre déploiement. Actuellement, cette fonctionnalité n’est pas prise en charge pour les Connector Appliance.

    6. Sélectionnez Suivant.

    Remarque :

    Vous ne pouvez pas passer à la page suivante tant que vous ne vous êtes pas correctement authentifié auprès d’Azure et n’avez pas consenti à accorder les autorisations requises.

  4. Configurez les ressources pour la connexion comme suit :

    • Sur la page Région, sélectionnez une région.
    • Sur la page Réseau, procédez comme suit :
      • tapez un nom de ressource comportant entre 1 et 64 caractères pour vous aider à identifier la combinaison région/réseau. Un nom de ressource ne peut contenir que des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
      • Sélectionnez une paire réseau virtuel/groupe de ressources (si vous avez plusieurs réseaux virtuels avec le même nom, le couplage du nom du réseau avec le groupe de ressources fournit des combinaisons uniques). Si la région que vous avez sélectionnée sur la page précédente ne dispose pas de réseaux virtuels, retournez à cette page et sélectionnez une région contenant des réseaux virtuels.

  5. Sur la page Résumé, affichez un résumé des paramètres et sélectionnez Terminer pour terminer votre configuration.

Afficher l’ID de l’application

Après avoir créé une connexion, vous pouvez voir l’ID de l’application que la connexion utilise pour accéder aux ressources Azure.

Dans la liste Ajouter une connexion et des ressources, sélectionnez la connexion pour afficher les détails. L’onglet Détails affiche l’ID de l’application.

ID de l'application sur la page Ajouter une connexion et des ressources

Créer un principal de service à l’aide de PowerShell

Pour créer un principal de service à l’aide de PowerShell, connectez-vous à votre abonnement Azure Resource Manager et utilisez les applets de commande PowerShell fournies dans les sections suivantes.

Assurez-vous que les éléments suivants sont prêts :

  • SubscriptionId : SubscriptionID Azure Resource Manager pour l’abonnement sur lequel vous souhaitez provisionner les VDA.
  • ActiveDirectoryID : ID de locataire de l’application que vous avez enregistrée auprès d’Azure AD.
  • ApplicationName : nom de l’application à créer dans Azure AD.

Les étapes détaillées sont les suivantes :

  1. Connectez-vous à votre abonnement Azure Resource Manager.

    Connect-AzAccount

  2. Sélectionnez l’abonnement Azure Resource Manager sur lequel vous souhaitez créer le principal de service.

    Get-AzSubscription -SubscriptionId $subscriptionId | Select-AzSubscription

  3. Créez l’application dans votre locataire AD.

    $AzureADApplication = New-AzADApplication -DisplayName $ApplicationName

  4. Créez un principal de service.

    New-AzADServicePrincipal -ApplicationId $AzureADApplication.AppId

  5. Attribuez un rôle au principal de service.

    New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplication.AppId –scope /subscriptions/$SubscriptionId

  6. Dans la sortie de la fenêtre de la console PowerShell, notez la valeur ApplicationId. Vous fournissez cet ID lors de la création de la connexion hôte.

Obtenir le secret d’application dans Azure

Pour créer une connexion à l’aide d’un principal de service existant, vous devez d’abord obtenir l’ID d’application et le code secret du principal du service sur le portail Azure.

Les étapes détaillées sont les suivantes :

  1. Obtenez l’ID de l’application dans l’interface Configuration complète ou à l’aide de PowerShell.
  2. Connectez-vous au portail Azure.
  3. Dans Azure, sélectionnez Azure Active Directory.
  4. Dans Inscriptions des applications dans Azure AD, sélectionnez votre application.
  5. Accédez à Certificats et secrets.
  6. Cliquez sur Clés secrètes client.

Secret d'application dans le portail Azure

Créer une connexion à l’aide d’un principal de service existant

Si vous disposez déjà d’un principal de service, vous pouvez l’utiliser pour créer une connexion à l’aide de Configuration complète.

Assurez-vous que les éléments suivants sont prêts :

  • ID d’abonnement
  • ID Active Directory (ID du locataire)
  • ID de l’application

  • Secret d’application

    Pour plus d’informations, consultez la section Obtenir le secret d’application.

  • Date d’expiration du secret

Les étapes détaillées sont les suivantes :

Dans l’assistant Ajouter une connexion et des ressources :

  1. Sur la page Connexion, sélectionnez Créer une connexion, le type de connexion Microsoft Azure et votre environnement Azure.

  2. Sélectionnez les outils à utiliser pour créer les machines virtuelles, puis cliquez sur Suivant.

  3. Sur la page Détails de la connexion, entrez votre ID d’abonnement Azure et un nom pour la connexion.

    Remarque :

    Le nom de la connexion peut contenir entre 1 et 64 caractères, et ne peut pas contenir uniquement des espaces ou les caractères \/;:#.*?=<>|[]{}"'()'.

  4. Sélectionnez Utiliser existant. Dans la fenêtre Détails du principal de service existant, entrez les paramètres suivants pour le principal de service existant. Une fois que vous avez saisi les détails, le bouton Enregistrer est activé. Sélectionnez Save. Vous ne pouvez pas avancer au-delà de cette page tant que vous n’avez pas fourni de détails valides.

    • ID d’abonnement. Saisissez votre identifiant d’abonnement Azure. Pour obtenir votre ID d’abonnement, connectez-vous au portail Azure et accédez à Abonnements > Vue d’ensemble.
    • ID Active Directory (ID du locataire). Entrez l’ID du répertoire (locataire) de l’application que vous avez enregistrée auprès d’Azure AD.
    • ID de l’application. Entrez l’ID d’application (client) de l’application que vous avez enregistrée auprès d’Azure AD.
    • Secret d’application. Entrez une clé secrète (secret client). L’application enregistrée utilise la clé pour s’authentifier auprès d’Azure AD. Nous vous recommandons de modifier régulièrement les clés pour des raisons de sécurité. Assurez-vous d’enregistrer la clé car vous ne pouvez pas la récupérer ultérieurement.

    • Date d’expiration du secret. Entrez la date après laquelle le secret d’application expire. Vous recevez une alerte sur la console avant l’expiration de la clé secrète. Toutefois, si la clé secrète expire, des erreurs s’affichent.

      Remarque :

      Pour des raisons de sécurité, la période d’expiration ne peut pas dépasser deux ans.

    • URL d’authentification. Ce champ est automatiquement renseigné et n’est pas modifiable.
    • URL de gestion. Ce champ est automatiquement renseigné et n’est pas modifiable.

    • Suffixe de stockage. Ce champ est automatiquement renseigné et n’est pas modifiable.

      L’accès aux points de terminaison suivants est requis pour créer un catalogue MCS dans Azure. L’accès à ces points de terminaison optimise la connectivité entre votre réseau et le portail Azure et ses services.

  5. Après avoir sélectionné Enregistrer, vous revenez à la page Détails de la connexion . Sélectionnez Suivant pour passer à la page suivante.

  6. Configurez les ressources pour la connexion comme suit :

    • Sur la page Région, sélectionnez une région.
    • Sur la page Réseau, procédez comme suit :
      • tapez un nom de ressource comportant entre 1 et 64 caractères pour vous aider à identifier la combinaison région/réseau. Un nom de ressource ne peut contenir que des espaces vides ni les caractères \/;:#.*?=<>|[]{}"'()'.
      • Sélectionnez une paire réseau virtuel/groupe de ressources (si vous avez plusieurs réseaux virtuels avec le même nom, le couplage du nom du réseau avec le groupe de ressources fournit des combinaisons uniques). Si la région que vous avez sélectionnée sur la page précédente ne dispose pas de réseaux virtuels, retournez à cette page et sélectionnez une région contenant des réseaux virtuels.

  7. Sur la page Résumé, affichez un résumé des paramètres et sélectionnez Terminer pour terminer votre configuration.

Gérer les principaux de service et les connexions

Cette section explique comment gérer les principaux de service et les connexions :

Configurer les paramètres de limitation d’Azure

Azure Resource Manager limite les demandes d’abonnements et de locataires, en acheminant le trafic en fonction de limites définies, adaptées aux besoins spécifiques du fournisseur. Pour plus d’informations, consultez la section Limitation des demandes Resource Manager sur le site Microsoft. Il existe des limites pour les abonnements et les locataires, où la gestion de nombreuses machines peut devenir problématique. Par exemple, un abonnement contenant un grand nombre de machines peut rencontrer des problèmes de performances liés aux opérations d’alimentation.

Conseil :

Pour plus d’informations, consultez la section Amélioration des performances Azure avec Machine Creation Services.

Pour aider à atténuer ces problèmes, Citrix DaaS vous permet de supprimer la limitation interne de MCS pour utiliser une plus grande partie du quota de demandes disponible d’Azure.

Nous recommandons les paramètres optimaux suivants lors de la mise hors/sous tension de machines virtuelles dans les abonnements volumineux, par exemple ceux contenant 1,000 machines virtuelles :

  • Opérations simultanées absolues : 500
  • Nombre maximal de nouvelles opérations par minute : 2000
  • Nombre maximal d’opérations simultanées : 500

Utilisez l’interface Configuration complète pour configurer les opérations Azure pour une connexion hôte donnée :

  1. Dans Gérer > Configuration complète, sélectionnez Hébergement dans le panneau de gauche.
  2. Sélectionnez une connexion liée à Azure pour la modifier.
  3. Dans l’assistant Modifier la connexion, sélectionnez Avancé.
  4. Dans la page Avancé, utilisez les options de configuration pour spécifier le nombre d’actions simultanées, le nombre maximal de nouvelles actions par minute et toutes les options de connexion supplémentaires.

Limitation Azure

MCS prend en charge 500 opérations simultanées maximum par défaut. Vous pouvez également utiliser le SDK Remote PowerShell distant pour définir le nombre maximal d’opérations simultanées.

Utilisez la propriété PowerShell, MaximumConcurrentProvisioningOperations, pour spécifier le nombre maximal d’opérations de provisioning Azure simultanées. Lorsque vous utilisez cette propriété, prenez en compte des éléments suivants :

  • La valeur par défaut de MaximumConcurrentProvisioningOperations est 500.
  • Configurez le paramètre MaximumConcurrentProvisioningOperations à l’aide de la commande PowerShell Set-item.

Activer la gestion des appareils joints à Azure AD

Dans Azure, les appareils joints à Azure AD obsolètes peuvent empêcher de nouvelles machines de rejoindre Azure AD, ce qui affecte leur fonctionnement. Pour éviter d’éventuels problèmes, vous pouvez autoriser les connexions à gérer les appareils joints à Azure AD. Avec cette autorisation, les connexions peuvent automatiquement nettoyer les appareils joints à Azure AD obsolètes.

Remarque :

Les appareils joints à Azure AD ne peuvent pas être supprimés d’Azure AD lorsque vous supprimez des machines ou des catalogues de machines.

  1. Dans Gérer > Configuration complète, sélectionnez Hébergement dans le panneau de gauche.
  2. Sélectionnez la connexion, puis sélectionnez Modifier la connexion dans le volet Actions.
  3. Sélectionnez Propriétés de connexion dans le volet de gauche.

  4. Sur la page Propriétés de connexion qui s’affiche, procédez comme suit :

    1. Sélectionnez Activer la gestion des appareils connectés à Azure AD.
    2. Cliquez sur Enregistrer.

    3. Dans la fenêtre de connexion Azure qui s’affiche, entrez votre mot de passe d’abonnement, puis cliquez sur Se connecter.

      Une fois la connexion terminée, vous êtes redirigé vers la liste des connexions et des ressources d’hébergement. Cliquez sur la connexion dans la liste, puis sur l’onglet Détails dans le volet inférieur. Vous pouvez voir que le champ Gestion des appareils joints à Azure AD indique Activé.

Lorsque vous activez la gestion des appareils joints à Azure AD avec Configuration complète, vous devez vous authentifier auprès d’Azure AD quelle que soit la méthode de création de connexion hôte choisie (créer une nouvelle connexion ou utiliser une connexion existante). Le rôle d’administrateur d’appareils cloud intégré à Azure AD est attribué au principal du service. Pour adopter les autorisations minimales pour la gestion des appareils joints à Azure AD, vous pouvez supprimer manuellement l’attribution du rôle d’administrateur d’appareils cloud au principal de service et créer un rôle personnalisé Azure AD qui inclut uniquement les autorisations minimales et l’attribuer au principal de service.

Remarque :

Activer le partage d’images dans Azure

Lorsque vous créez ou mettez à jour des catalogues de machines, vous pouvez sélectionner des images partagées à partir de différents locataires et abonnements Azure (partagées via la galerie Azure Compute Gallery). Pour activer le partage d’images au sein des locataires ou entre eux, vous devez définir les paramètres nécessaires dans Azure :

Partager des images au sein d’un locataire (entre abonnements)

Pour sélectionner une image dans Azure Compute Gallery qui appartient à un autre abonnement, l’image doit être partagée avec le service principal (SPN) de cet abonnement.

Par exemple, s’il existe un principal de service (SPN 1) configuré dans Studio comme suit :

Principal de service : SPN 1

Abonnement : abonnement 1

Locataire : locataire 1

L’image se trouve dans un abonnement différent, qui est configuré dans Studio comme suit :

Abonnement : abonnement 2

Locataire : locataire 1

Si vous souhaitez partager l’image de l’abonnement 2 avec l’abonnement 1 (SPN 1), accédez à l’abonnement 2 et partagez le groupe de ressources avec SPN1.

L’image doit être partagée avec un autre SPN à l’aide du contrôle d’accès basé sur les rôles Azure (RBAC). Azure RBAC est le système d’autorisation utilisé pour gérer l’accès aux ressources Azure. Pour plus d’informations sur Azure RBAC, consultez le document Microsoft Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Pour accorder l’accès, vous attribuez des rôles aux principaux de service au niveau du groupe de ressources avec le rôle Contributeur. Pour attribuer des rôles Azure, vous devez disposer d’une autorisation Microsoft.Authorization/roleAssignments/write, telle que le rôle Administrateur de l’accès utilisateur ou Propriétaire. Pour plus d’informations sur le partage d’images avec un autre SPN, consultez le document Microsoft Attribuer des rôles Azure à l’aide du portail Azure.

Partager des images entre locataires

Pour partager des images entre locataires avec Azure Compute Gallery, créez un enregistrement d’application.

Par exemple, s’il y a deux locataires (Tenant 1 et Tenant 2) et que vous souhaitez partager votre galerie d’images avec Tenant 1, alors :

  1. Créez une demande d’enregistrement pour Tenant 1. Pour plus d’informations, voir Créer l’enregistrement de l’application.

  2. Donnez à Tenant 2 l’accès à l’application en demandant une connexion à l’aide d’un navigateur. Remplacez Tenant2 ID par l’identifiant de Tenant 1. Remplacez Application (client) ID par l’ID de l’application de l’enregistrement d’application que vous avez créé. Lorsque vous avez terminé d’effectuer les remplacements, collez l’URL dans un navigateur et suivez les instructions de connexion pour vous connecter à Tenant 2. Par exemple :

    https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F
<!--NeedCopy-->

    Pour plus d’informations, consultez la section Donner accès à Tenant 2.

  3. Donnez à l’application l’accès au groupe de ressources Tenant 2. Connectez-vous en tant que Tenant 2 et autorisez l’enregistrement d’application à accéder au groupe de ressources contenant l’image de la galerie. Pour plus d’informations, consultez Authentifier les demandes auprès des locataires.

Ajouter des locataires partagés à une connexion à l’aide de la configuration complète

Lorsque vous créez ou mettez à jour des catalogues de machines dans l’interface Configuration complète, vous pouvez sélectionner des images partagées à partir de différents locataires et abonnements Azure (partagées via la galerie Azure Compute Gallery). Cette fonctionnalité exige que vous fournissiez des informations partagées sur les locataires et les abonnements pour les connexions hôtes associées.

Remarque :

Vérifiez que vous avez configuré les paramètres nécessaires dans Azure pour permettre le partage d’images entre les locataires. Pour plus d’informations, consultez la section Partager des images entre les locataires.

Pour établir une connexion, procédez comme suit :

  1. Dans Gérer > Configuration complète, sélectionnez Hébergement dans le panneau de gauche.

  2. Sélectionnez la connexion, puis sélectionnez Modifier la connexion dans le volet Actions.

    Locataires partagés

  3. Dans Locataires partagés, procédez comme suit :
    1. Fournissez l’ID d’application et le secret d’application associés à l’abonnement de la connexion. DaaS utilise ces informations pour s’authentifier auprès d’Azure AD.
    2. Ajoutez des locataires et des abonnements qui partagent Azure Compute Gallery avec l’abonnement de la connexion. Vous pouvez ajouter jusqu’à huit locataires partagés et huit abonnements pour chaque locataire.
  4. Lorsque vous avez terminé, sélectionnez Appliquer pour appliquer les modifications que vous avez apportées et garder la fenêtre ouverte, ou sélectionnez OK pour appliquer les modifications et fermer la fenêtre.

Mettre en œuvre le partage d’images à l’aide de PowerShell

Cette section décrit les processus à suivre pour le partage d’images à l’aide de PowerShell :

Sélectionner une image provenant d’un autre abonnement

Vous pouvez sélectionner une image dans Azure Compute Gallery qui appartient à un abonnement partagé différent dans le même locataire Azure pour créer et mettre à jour des catalogues MCS à l’aide de commandes PowerShell.

  1. Citrix crée un nouveau dossier d’abonnement partagé appelé sharedsubscription dans le dossier racine de l’unité d’hébergement.

  2. Répertoriez tous les abonnements partagés d’un client.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\sharedsubscription.folder"
<!--NeedCopy-->

  3. Sélectionnez un abonnement partagé, puis répertoriez tous les groupes de ressources partagés de cet abonnement partagé.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription"
<!--NeedCopy-->

  4. Sélectionnez un groupe de ressources, puis répertoriez toutes les galeries de ce groupe de ressources.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup"
<!--NeedCopy-->

  5. Sélectionnez une galerie, puis répertoriez toutes les définitions d’images de cette galerie.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery.gallery"
<!--NeedCopy-->

  6. Sélectionnez une définition d’image, puis répertoriez toutes les versions d’image de cette définition d’image.

    Get-ChildItem -Path "XDhyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef.imagedefinition"
<!--NeedCopy-->

  7. Créez et mettez à jour un catalogue MCS à l’aide des éléments suivants :

    • Groupe de ressources
    • Galerie
    • Définition de l’image de la galerie
    • Version d’image de la galerie

    Pour plus d’informations sur la création d’un catalogue à l’aide du SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Mettre à jour les propriétés personnalisées de la connexion d’hébergement avec des ID de locataire partagés

Utilisez Set-Item pour mettre à jour les propriétés personnalisées de connexion d’hébergement avec des ID de locataire et des identifiants d’abonnement partagés. Ajoutez une propriété SharedTenants dans CustomProperties. Le format de Shared Tenants est le suivant :

[{"Tenant":"94367291-119e-457c-bc10-25337231f7bd","Subscriptions":["7bb42f40-8d7f-4230-a920-be2781f6d5d9"]},{"Tenant":"50e83564-c4e5-4209-b43d-815c45659564","Subscriptions":["06ab8944-6a88-47ee-a975-43dd491a37d0"]}]
<!--NeedCopy-->

Par exemple :

Set-Item -CustomProperties "<CustomProperties xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`" xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"123`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"123abc`" />
<Property xsi:type=`"StringProperty`" Name=`"SharedTenants`" Value=`"`[ { 'Tenant':'123abc', 'Subscriptions':['345', '567'] } ]`"` />
</CustomProperties>"
-LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword
$psd
<!--NeedCopy-->

Remarque :

Vous pouvez ajouter plusieurs locataires. Chaque locataire peut avoir plusieurs abonnements.

Sélectionner une image provenant d’un autre locataire

Vous pouvez sélectionner une image dans Azure Compute Gallery qui appartient à un autre locataire Azure pour créer et mettre à jour des catalogues MCS à l’aide de commandes PowerShell.

  1. Citrix crée un nouveau dossier d’abonnement partagé appelé sharedsubscription dans le dossier racine de l’unité d’hébergement.

  2. Répertoriez tous les abonnements partagés.

    Get-ChildItem XDHyp:\HostingUnits\azres\sharedsubscription.folder
<!--NeedCopy-->

  3. Sélectionnez un abonnement partagé, puis répertoriez tous les groupes de ressources partagés de cet abonnement partagé.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription
<!--NeedCopy-->

  4. Sélectionnez un groupe de ressources, puis répertoriez toutes les galeries de ce groupe de ressources.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\ xyz.resourcegroup
<!--NeedCopy-->

  5. Sélectionnez une galerie, puis répertoriez toutes les définitions d’images de cette galerie.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery
<!--NeedCopy-->

  6. Sélectionnez une définition d’image, puis répertoriez toutes les versions d’image de cette définition d’image.

    Get-ChildItem XDHyp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\efg.gallery\hij.imagedefinition
<!--NeedCopy-->

  7. Créez et mettez à jour un catalogue MCS à l’aide des éléments suivants :

    • Groupe de ressources
    • Galerie
    • Définition de l’image de la galerie
    • Version d’image de la galerie

    Pour plus d’informations sur la création d’un catalogue à l’aide du SDK Remote PowerShell, consultez https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/.

Créer un environnement sécurisé pour le trafic géré par Azure

MCS permet d’acheminer le trafic réseau (appels d’API de Citrix Cloud vers l’hyperviseur Azure) via les Cloud Connectors de votre environnement. Cette implémentation vous permet de verrouiller votre abonnement Azure pour autoriser le trafic réseau à partir d’adresses IP spécifiques. Pour ce faire, ajoutez ProxyHypervisorTrafficThroughConnector dans CustomProperties. Après avoir défini les propriétés personnalisées, vous pouvez configurer des stratégies Azure pour avoir un accès privé aux disques gérés par Azure.

Si vous configurez la stratégie Azure pour créer automatiquement des accès au disque pour chaque nouveau disque afin d’utiliser des points de terminaison privés, vous ne pouvez pas charger ou télécharger plus de cinq disques ou instantanés en même temps avec le même objet d’accès au disque imposé par Azure. Cette limite s’applique à chaque catalogue de machines si vous configurez la politique Azure au niveau du groupe de ressources, et à tous les catalogues de machines si vous configurez la politique Azure au niveau de l’abonnement. Si vous ne configurez pas la stratégie Azure pour créer automatiquement des accès au disque pour chaque nouveau disque afin d’utiliser des points de terminaison privés, la limite de cinq opérations simultanées n’est pas appliquée.

Remarque :

Actuellement, cette fonctionnalité n’est pas prise en charge pour Connector Appliance. Pour connaître les limites d’Azure liées à cette fonctionnalité, consultez Restreindre l’accès à l’importation/exportation pour les disques gérés à l’aide d’Azure Private Link.

Activer le proxy

Pour activer le proxy, définissez les propriétés personnalisées comme suit sur la connexion hôte :

  1. Ouvrez une fenêtre PowerShell à l’aide du Remote PowerShell SDK. Pour en savoir plus, consultez https://docs.citrix.com/en-us/citrix-daas/sdk-api.html#citrix-virtual-apps-and-desktops-remote-powershell-sdk/.

  2. Exécutez les commandes suivantes :

    Add-PSSnapin citrix*.
cd XDHyp:\Connections\
dir
<!--NeedCopy-->

  3. Copiez CustomProperties depuis la connexion vers un bloc-notes et ajoutez le paramètre de propriété <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" /> à CustomProperties pour activer le proxy. Par exemple :

    <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
<Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" />
<Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" />
<Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" />
<Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" />
<Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" />
<Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
</CustomProperties>
<!--NeedCopy-->

  4. Dans la fenêtre PowerShell, attribuez une variable aux propriétés personnalisées modifiées. Par exemple :

    $customProperty = '<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
<Property xsi:type="StringProperty" Name="SubscriptionId" Value="4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx" />
<Property xsi:type="StringProperty" Name="ManagementEndpoint" Value="https://management.azure.com/" />
<Property xsi:type="StringProperty" Name="AuthenticationAuthority" Value="https://login.microsoftonline.com/" />
<Property xsi:type="StringProperty" Name="StorageSuffix" Value="core.windows.net" />
<Property xsi:type="StringProperty" Name="TenantId" Value="5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx" />
<Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True" />
</CustomProperties>'
<!--NeedCopy-->
  5. Exécutez $cred = Get-Credential. Si vous y êtes invité, fournissez les informations d’identification de connexion. Les informations d’identification sont l’ID d’application Azure et le code secret.

  6. Exécutez Set-Item -PSPath XDHyp:\Connections\<Connection_Name> -CustomProperties $customProperty -username $cred.username -Securepassword $cred.password.

    Important :

    Si vous recevez un message indiquant que SubscriptionId manque, remplacez tous les guillemets doubles (“) par un guillemet inverse suivi de guillemets doubles (`”) dans la propriété personnalisée. Par exemple :

    <CustomProperties xmlns:xsi=`"http://www.w3.org/2001/XMLSchema-instance`" xmlns=`"http://schemas.citrix.com/2014/xd/machinecreation`">
<Property xsi:type=`"StringProperty`" Name=`"SubscriptionId`" Value=`"4991xxxx-2xxx-4xxx-8xxx-ff59a830xxxx`" />
<Property xsi:type=`"StringProperty`" Name=`"ManagementEndpoint`" Value=`"https://management.azure.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"AuthenticationAuthority`" Value=`"https://login.microsoftonline.com/`" />
<Property xsi:type=`"StringProperty`" Name=`"StorageSuffix`" Value=`"core.windows.net`" />
<Property xsi:type=`"StringProperty`" Name=`"TenantId`" Value=`"5cxxxxx-9xxx-4xxx-8xxx-dffe3efdxxxx`" />
<Property xsi:type=`"StringProperty`" Name=`"ProxyHypervisorTrafficThroughConnector`" Value=`"True`" />
</CustomProperties>
<!--NeedCopy-->
  7. Exécutez dir pour vérifier les paramètres CustomProperties mis à jour.

Gérer le secret d’application et la date d’expiration du secret

Veillez à modifier le secret de l’application pour une connexion avant son expiration. Vous recevez une alerte sur l’interface Configuration complète avant l’expiration de la clé secrète.

Créer un secret d’application dans Azure

Vous pouvez créer un secret d’application pour une connexion via le portail Azure.

  1. Sélectionnez Azure Active Directory.
  2. Dans Inscriptions des applications dans Azure AD, sélectionnez votre application.
  3. Accédez à Certificats et secrets.

  4. Cliquez sur Clés secrètes client > Nouvelle clé secrète client.

    Créer un secret d'application

  5. Fournissez une description du secret et spécifiez une durée. Lorsque vous avez terminé, sélectionnez Ajouter.

    Remarque :

    Veillez à enregistrer le secret client car vous ne pouvez pas le récupérer ultérieurement.

  6. Copiez la valeur du secret client et la date d’expiration.
  7. Dans l’interface Configuration complète, modifiez la connexion correspondante et remplacez le contenu du champ Secret de l’application et Date d’expiration du secret par la valeur que vous avez copiée.

Modifier la date d’expiration du secret

Vous pouvez utiliser l’interface Configuration complète pour ajouter ou modifier la date d’expiration du secret d’application utilisé.

  1. Dans l’assistant Ajouter une connexion et des ressources, cliquez avec le bouton droit sur une connexion, puis cliquez sur Modifier la connexion.
  2. Sur la page Propriétés de la connexion, cliquez sur Date d’expiration du secret pour ajouter ou modifier la date d’expiration du secret d’application utilisé.

Modifier la date d'expiration du secret

Autorisations Azure requises

Cette section détaille les autorisations minimales et générales requises pour Azure.

Autorisations minimales

Les autorisations minimales offrent un meilleur contrôle de la sécurité. Toutefois, les nouvelles fonctionnalités qui nécessitent des autorisations supplémentaires échouent si seules des autorisations minimales sont accordées. Cette section répertorie les autorisations minimales par action.

Création d’une connexion hôte

Ajoutez une connexion hôte à l’aide des informations obtenues auprès d’Azure.

"Microsoft.Network/virtualNetworks/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/disks/read",
<!--NeedCopy-->

Gestion de l’alimentation des machines virtuelles

Mettez les instances de machine sous tension ou hors tension.

"Microsoft.Compute/virtualMachines/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/restart/action",
<!--NeedCopy-->

Création, mise à jour ou suppression de machines virtuelles

Créez un catalogue de machines, puis ajoutez, supprimez, mettez à jour des machines et supprimez le catalogue de machines.

Voici la liste des autorisations minimales requises lorsque les images principales sont des disques gérés ou que les instantanés se trouvent dans la même région que la connexion d’hébergement.

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
<!--NeedCopy-->

Vous avez besoin des autorisations supplémentaires suivantes basées sur des autorisations minimales pour les fonctionnalités suivantes :

  • Si l’image principale est un disque dur virtuel dans un compte de stockage situé dans la même région que la connexion d’hébergement :

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 <!--NeedCopy-->

  • Si l’image principale est une ImageVersion provenant d’Azure Compute Gallery (anciennement Shared Image Gallery) :

     "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 <!--NeedCopy-->

  • Si l’image principale est un disque géré, un instantané ou un disque dur virtuel se trouvant dans une région différente de celle de la connexion d’hébergement :

     "Microsoft.Storage/storageAccounts/read",
 "Microsoft.Storage/storageAccounts/listKeys/action",
 "Microsoft.Storage/storageAccounts/write",
 "Microsoft.Storage/storageAccounts/delete",
 <!--NeedCopy-->

  • Si vous utilisez le groupe de ressources géré par Citrix :

     "Microsoft.Resources/subscriptions/resourceGroups/write",
 "Microsoft.Resources/subscriptions/resourceGroups/delete",
 <!--NeedCopy-->

  • Si vous placez l’image principale dans Azure Compute Gallery (anciennement Shared Image Gallery) :

     "Microsoft.Compute/galleries/write",
 "Microsoft.Compute/galleries/images/write",
 "Microsoft.Compute/galleries/images/versions/write",
 "Microsoft.Compute/galleries/read",
 "Microsoft.Compute/galleries/images/read",
 "Microsoft.Compute/galleries/images/versions/read",
 "Microsoft.Compute/galleries/delete",
 "Microsoft.Compute/galleries/images/delete",
 "Microsoft.Compute/galleries/images/versions/delete",
 <!--NeedCopy-->

  • Si vous utilisez la prise en charge des hôtes dédiés Azure :

     "Microsoft.Compute/hostGroups/read",
 "Microsoft.Compute/hostGroups/write",
 "Microsoft.Compute/hostGroups/hosts/read",
 <!--NeedCopy-->

  • Si vous utilisez le chiffrement côté serveur (SSE) avec des clés gérées par le client (CMK) :

     "Microsoft.Compute/diskEncryptionSets/read",
 <!--NeedCopy-->

  • Si vous déployez des machines virtuelles à l’aide de modèles ARM (profil de machine) :

     "Microsoft.Resources/deployments/write",
 "Microsoft.Resources/deployments/operationstatuses/read",
 "Microsoft.Resources/deployments/read",
 "Microsoft.Resources/deployments/delete",
 <!--NeedCopy-->

  • Si vous utilisez la spécification de modèle Azure comme profil de machine :

     "Microsoft.Resources/templateSpecs/read",
 "Microsoft.Resources/templateSpecs/versions/read",
 <!--NeedCopy-->

Création, mise à jour et suppression de machines dotées d’un disque non géré

Voici la liste des autorisations minimales requises lorsque l’image principale est un disque dur virtuel et utilise un groupe de ressources fourni par l’administrateur :

"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
<!--NeedCopy-->

Gestion des appareils joints à Azure AD

Vous trouvez ci-dessous la liste des autorisations minimales requises pour gérer les appareils joints à Azure AD :

microsoft.directory/devices/standard/read
microsoft.directory/devices/delete
<!--NeedCopy-->

Autorisations générales

Le rôle de contributeur dispose d’un accès complet pour gérer toutes les ressources. Cet ensemble d’autorisations ne vous empêche pas d’obtenir de nouvelles fonctionnalités.

L’ensemble d’autorisations suivant fournit la meilleure compatibilité à l’avenir, même s’il inclut plus d’autorisations que nécessaire avec l’ensemble de fonctionnalités actuel :

"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/endGetAccess/action",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/galleries/delete",
"Microsoft.Compute/galleries/images/delete",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/galleries/images/versions/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/galleries/images/versions/write",
"Microsoft.Compute/galleries/images/write",
"Microsoft.Compute/galleries/read",
"Microsoft.Compute/galleries/write",
"Microsoft.Compute/hostGroups/hosts/read",
"Microsoft.Compute/hostGroups/read",
"Microsoft.Compute/hostGroups/write",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Resources/templateSpecs/read",
"Microsoft.Resources/templateSpecs/versions/read",
<!--NeedCopy-->

Autorisation Azure AD

Si vous créez des catalogues de machines jointes à Azure AD, MCS est responsable de la gestion des appareils Azure AD lorsque vous activez la gestion des appareils joints à Azure AD. Le rôle d’administrateur d’appareils cloud intégré à Azure AD offre la meilleure compatibilité à l’avenir, même s’il inclut plus d’autorisations que ce qui est nécessaire avec l’ensemble de fonctionnalités actuel.

Autres ressources

Informations supplémentaires

Connexion à Microsoft Azure
March 30, 2024
Contributeur: 
C
March 30, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.